Рік 2025-й став одним із найбільш руйнівних у кіберісторії — від атак на британський автопром до безпрецедентних витоків облікових даних. Розповідаємо про інциденти в хронологічному порядку
Лютий-квітень: початок британської кіберкризи
Marks & Spencer: великодня катастрофа
У лютому 2025 року хакери розпочали проникнення в мережу Marks & Spencer, хоча публічно про це стало відомо лише у великодній вікенд — 19-21 квітня. Покупці по всій Британії почали повідомляти про збої в роботі безконтактних платежів та послуг “клік-енд-колект”.
Як встановило розслідування Specops Software, хакери використали класичну соціальну інженерію — зателефонували до служби підтримки IT, видаючи себе за співробітників компанії, та змусили скинути паролі доступу. Отримавши облікові дані, зловмисники викрали файл NTDS.dit — ключову базу даних Active Directory, що містить хеші паролів усіх користувачів домену.
25 квітня M&S була змушена зупинити всі онлайн-продажі. Атака спричинила зупинку електронної комерції на понад шість тижнів. Компанія щодня втрачала £3,8 млн доходів. У магазинах перестали працювати безконтактні платежі та послуги самообслуговування. За даними Al Jazeera, загальна капіталізація M&S впала більш ніж на £700 млн.
За атакою стояла група DragonForce, яка працювала як афіліат з колективом Scattered Spider — децентралізованою мережею переважно молодих англомовних хакерів, які спеціалізуються на соціальній інженерії.
Co-op: паралельний удар
30 квітня 2025 року мережа супермаркетів Co-op повідомила про власний інцидент кібербезпеки. Кіберзлочинці вкрали дані клієнтів і співробітників, компанія була змушена відключити частину IT-систем. Керівник Co-op Ширін Хурі-Хак назвала зловмисників “надзвичайно витонченими”.
Згідно з оцінками Cyber Monitoring Centre, атаки на M&S та Co-op були класифіковані як “єдина комбінована кіберподія” з сукупним збитком £270-440 млн ($363-592 млн). У липні британські правоохоронці заарештували чотирьох підозрюваних у зв’язку з цими атаками.
Травень: елітні мішені
Harrods: витік даних 430 тисяч клієнтів
У травні 2025-го хакери атакували елітний лондонський універмаг Harrods, викравши дані про 430 тисяч клієнтів через стороннього постачальника послуг. Компанія підкреслила, що скомпрометована інформація обмежувалася іменами, контактними даними та маркетинговими даними, без паролів і платіжної інформації.
Цей інцидент став продовженням хвилі атак на британський ритейл — раніше, у травні, Harrods уже стикався з хакерською спробою атаки на внутрішні системи, що призвело до тимчасових обмежень інтернету в магазинах.
TeleMessage: компрометація урядових комунікацій
У травні кіберзлочинці проникли в TeleMessage — додаток для безпечного обміну повідомленнями, який використовували американські урядовці, включаючи співробітників FEMA та CBP. Було скомпрометовано метадані з понад 60 облікових записів, включаючи імена, номери телефонів та електронні адреси. Додаток використовував Майк Уолц, колишній радник з національної безпеки, що викликало серйозні занепокоєння щодо контррозвідувальних ризиків.
Червень: витоки гігантських масштабів
16 мільярдів облікових даних: “план масової експлуатації”
18 червня 2025 року дослідники кібербезпеки з Cybernews оприлюднили інформацію про один із найбільших витоків даних в історії. Було виявлено 30 незахищених наборів даних, що містили понад 16 мільярдів логінів і паролів.
База даних включала облікові записи до практично всіх великих онлайн-сервісів: Google, Apple, Facebook, Telegram, GitHub, а також урядових порталів. Як повідомили CBS News та TIME, оскільки 16 мільярдів приблизно вдвічі перевищує населення планети, очевидно, що багато користувачів мали скомпрометовані облікові дані одразу до кількох сервісів.
Джерелом витоку став infostealer malware — шкідливе програмне забезпечення, яке таємно збирає облікові дані, збережені в браузерах, поштових клієнтах та інших додатках. Як пояснили дослідники Malwarebytes, це не був один великий злом конкретних компаній, а скоріше агрегація даних з численних джерел.
“Це не просто витік — це план масової експлуатації”, — заявили дослідники Cybernews. База даних була структурована у форматі, характерному для infostealer-логів, з чітким розподілом: URL, ім’я користувача, пароль.
Хоча BleepingComputer зазначив, що частина інформації могла бути перероблена зі старих витоків, дослідники наполягали на актуальності багатьох записів. Компанії Google, Meta та Apple підтвердили в коментарях Axios, що безпосередньо їхні системи не зазнали злому.
UNFI: удар по продовольчому ланцюгу
У середині червня постачальник продуктів харчування United Natural Foods Inc. (UNFI), основний дистриб’ютор для Whole Foods, зазнав руйнівної кібератаки. Інцидент паралізував електронні системи замовлень, призвів до тимчасового зупинення автоматизованого замовлення та доставки, що спричинило помітну нестачу продуктів у магазинах по всій Північній Америці. Атака продемонструвала вразливість цифрових систем продовольчого постачання та залежність від єдиного дистриб’ютора.
Серпень-вересень: паралізація автопрому
Jaguar Land Rover: найдорожча кіберкриза Британії
31 серпня 2025 року почалася атака на Jaguar Land Rover, яка назавжди увійде в історію як найруйнівніша кібератака на британську економіку. Хакери проникли в IT-системи автовиробника, що призвело до повного зупинення виробництва компанії на понад місяць.
Дослідження CYFIRMA показало, що атака, за яку відповідальність узяла група Scattered Lapsus$ Hunters, паралізувала роботу заводів компанії у Великій Британії, Китаї, Словаччині, Індії та Бразилії. JLR змушена була відправити тисячі співробітників додому, оскільки виробничі лінії виявилися повністю заблокованими.
Аналіз Treblle виявив, що це був уже другий великий інцидент для JLR у 2025 році. У березні група Hellcat вже проникала в системи компанії через викрадені Jira-облікові дані, отримані за допомогою infostealer malware від стороннього постачальника.
Економічний збиток виявився катастрофічним. За офіційними даними компанії, лише у третьому кварталі 2025 року збитки склали £196 млн ($220 млн). Як повідомила Panda Security, загальна оцінка впливу на британську економіку сягає £1,9 млрд, що робить цей інцидент найдорожчою кібератакою в історії Сполученого Королівства.
Британський уряд вжив безпрецедентних заходів, надавши JLR гарантію під кредит у £1,5 млрд — це перший випадок, коли уряд Великої Британії фінансово підтримав компанію саме через кібератаку. Як зазначає Manufacturing Digital, постраждав не лише сам автовиробник: під ударом опинилися понад 200 тисяч робочих місць у ланцюзі постачання.
Банк Англії у листопаді визнав, що атака на JLR стала однією з причин уповільнення зростання ВВП країни у третьому кварталі. Виробництво автомобілів у Британії у вересні впало до найнижчого рівня з 1952 року.
Collins Aerospace: європейська авіаційна криза
19 вересня 2025 року європейський авіаційний сектор зазнав масштабної кібератаки. Постраждали кілька великих аеропортів, включаючи Хітроу, Брюссель і Берлін. Джерелом проблеми став ransomware-напад на систему обробки пасажирів Collins Aerospace, відому як MUSE та vMUSE.
Оскільки ця система широко використовується численними авіакомпаніями та аеропортами, атака швидко поширилася через кордони, спричинивши масштабні операційні збої. Інцидент продемонстрував вразливість критичної інфраструктури, коли компрометація одного постачальника може паралізувати роботу цілого сектору.
Volvo Group: компрометація через HR-постачальника
У вересні 2025 року компанія Volvo Group постраждала від інциденту безпеки через стороннього постачальника — HR-софт Miljödata зазнав ransomware-атаки. Було викрадено приблизно 870 тисяч записів клієнтів постачальника по всій базі, включаючи невизначену кількість даних співробітників Volvo North America. Інцидент підкреслив ризики, пов’язані з аутсорсингом критичних HR-функцій.
Salesloft/Salesforce: потенційно 1,5 мільярда записів
У вересні зловмисники скомпрометували інтеграції Salesloft Drift, що використовуються з Salesforce. Група ShinyHunters викрала токени доступу, що потенційно могло вплинути на понад 1,5 млрд записів через численні постраждалі організації. Це був один із найбільших інцидентів безпеки SaaS-платформ у 2025 році.
Asahi Group: три тижні без операцій
Наприкінці вересня 2025 року японський пивоварний гігант Asahi оголосив про зупинку операцій у Японії внаслідок “системного збою”, спричиненого кібератакою. Незабаром з’ясувалося, що це була ransomware-атака з крадіжкою даних.
На початку жовтня група Qilin взяла на себе відповідальність за атаку, оприлюднивши на своєму leak-сайті інформацію про викрадені 27 ГБ файлів компанії. Asahi Group володіє не лише однойменним японським брендом пива, але й італійською Peroni, чеською Pilsner Urquell та угорською Dreher. Компанія створила Штаб екстреного реагування для розслідування інциденту.
Kering Group: люксові бренди під ударом
У вересні Kering Group оголосила, що кібератака скомпрометувала дані клієнтів люксових брендів Gucci, Balenciaga та Alexander McQueen. Хакери з групи Shiny Hunters викрали персональні дані, включаючи імена, електронні адреси, номери телефонів, домашні адреси та загальні суми покупок у магазинах по всьому світу. Хоча дані кредитних карт не було викрадено, інформація про покупки на суму до $80,000 викликала занепокоєння щодо цільового фішингу заможних клієнтів.
Жовтень: експлуатація корпоративного софту
Oracle E-Business Suite: zero-day експлуатація
На початку жовтня 2025 року хакерська група Clop — російськомовний колектив ransomware-as-a-service — розпочала масштабну кампанію експлуатації вразливості в Oracle E-Business Suite. Зловмисники використовували zero-day уразливість CVE-2025-61882, для якої Oracle випустила екстрений патч лише 5 жовтня.
Google Threat Intelligence Group повідомила, що Clop надсилала листи з вимогами викупу керівникам численних компаній, стверджуючи, що викрала конфіденційні дані з їхніх EBS-систем. Серед постраждалих — американська софтверна компанія GlobalLogic, що належить японському конгломерату Hitachi.
Небезпека полягала в тому, що хакери експлуатували не лише zero-day, але й інші вразливості, для яких Oracle випустила патчі у липневому критичному оновленні 2025 року. Велика кількість організацій виявилися вразливими через несвоєчасне застосування патчів.
Додаткові інциденти жовтня
За даними CM-Alliance, жовтень 2025 року відзначився численними атаками: компрометацією Motility Software Solutions та Envoy Air, витоком даних Discord, експлуатацією вразливості F5 BIG-IP. Постраждали також Harvard University, Volkswagen France та WestJet, що підкреслило еволюційну тактику кіберзлочинців.
Висновки: нова реальність кібербезпеки
Як підсумовує огляд найбільших кібератак 2025 року від CM-Alliance, цей рік продемонстрував кілька тривожних тенденцій:
Соціальна інженерія замість складних експлойтів. Ransomware-групи все частіше використовують атаки на IT-служби підтримки замість технічних вразливостей. Scattered Spider показала, як англомовні хакери можуть ефективно маніпулювати людським фактором.
Вразливості ланцюгів постачання. Атаки на JLR, M&S та Co-op частково відбулися через компрометацію сторонніх IT-постачальників. Інциденти з UNFI, Volvo та Salesloft показали, наскільки критично залежать цілі сектори від окремих постачальників.
Зростання економічної шкоди. Збитки JLR перевищили £196 млн за квартал, вплинувши на національний ВВП. За оцінками Statista, загальна вартість кіберзлочинності зросте з $9,22 трлн у 2024 році до $13,82 трлн до 2028 року.
Промисловий масштаб витоків облікових даних. 16 мільярдів скомпрометованих облікових даних створили “план масової експлуатації” для credential stuffing атак і захоплення облікових записів.
Експерти наголошують на необхідності комплексного підходу до кібербезпеки: регулярного оновлення систем, впровадження багатофакторної автентифікації, навчання персоналу розпізнавати соціальну інженерію, ретельної перевірки сторонніх постачальників і використання унікальних паролів для кожного сервісу.
Події 2025 року довели: питання вже не в тому, чи станете ви жертвою кібератаки, а в тому, наскільки підготовленими виявитеся, коли це станеться.
